SUR CETTE PAGE
Mise à jour de la base de données de signatures IDP Présentation
Téléchargement du package de signatures IDP de Junos OS via un serveur proxy explicite Présentation
Exemple : Mise à jour automatique de la base de données de signatures
Mise à jour manuelle de la base de données de signatures IDP Vue d’ensemble
Exemple : Mise à jour manuelle de la base de données de signatures IDP
Exemple : téléchargement et installation des packages de sécurité IDP en mode cluster de châssis
Téléchargement du package de signatures IDP de Junos OS via un serveur proxy explicite
Présentation de la version de la base de données de signatures IDP
Vérification de la version de la base de données de signatures IDP
Présentation de la base de données de signatures IDP
Les signatures IDP sont un composant important du cadre de sécurité de Juniper Network, conçu pour protéger les réseaux contre les menaces connues en utilisant des modèles d'attaque prédéfinis, appelés signatures.
L’IDP basé sur les signatures surveille les paquets sur le réseau et les compare aux modèles d’attaque préconfigurés et prédéterminés appelés signatures.
Pour plus d’informations, consultez les rubriques suivantes :
Comprendre la base de données de signatures IDP
La base de données de signatures est l’un des principaux composants du système IDP. Il contient les définitions de différents objets, tels que les objets d’attaque, les objets de signatures d’application et les objets de service, qui sont utilisés pour définir les règles de stratégie IDP. En réponse aux nouvelles vulnérabilités, Juniper Networks fournit périodiquement un fichier contenant les mises à jour de la base de données d’attaques sur le site Web de Juniper. Vous pouvez télécharger ce fichier pour protéger votre réseau contre les nouvelles menaces.
La fonctionnalité IDP est activée par défaut, aucune licence n’est requise. Il est également possible de configurer et d’installer des attaques personnalisées et des groupes d’attaques personnalisés dans les stratégies IDP, même si aucune licence valide ni base de données de signatures n’est installée sur l’appareil.
La base de données de signatures IDP est stockée sur l’appareil compatible IDP et contient les définitions d’objets et de groupes d’attaques prédéfinis. Ces objets et groupes d’attaques sont conçus pour détecter les schémas d’attaque connus et les anomalies de protocole au sein du trafic réseau. Vous pouvez configurer des objets et des groupes d’attaques en tant que conditions de correspondance dans les règles de stratégie IDP.
Vous devez installer la clé de licence IDP signature-database-update sur votre appareil pour télécharger et installer les mises à jour quotidiennes de la base de données de signatures fournies par Juniper Networks. La clé de licence de signature IDP ne prend pas en charge la période de grâce. Pour plus d’informations sur les licences, reportez-vous à la section Clés de licence des fonctionnalités Junos OS.
Vous pouvez télécharger le package de sécurité IDP via un serveur proxy explicite. Pour télécharger le package de sécurité IDP qui héberge sur un serveur externe, vous devez configurer un profil proxy et utiliser les détails de l’hôte proxy et du port configurés dans le profil proxy. Cette fonctionnalité vous permet d’utiliser un serveur proxy Web déployé sur votre appareil pour accéder et vous authentifier aux sessions sortantes HTTP(S) de votre solution de sécurité globale.
Vous pouvez effectuer les tâches suivantes pour gérer la base de données de signatures IDP :
Mettre à jour la base de données de signatures : téléchargez les mises à jour de la base de données d’attaques disponibles sur le site Web de Juniper Networks. De nouvelles attaques sont découvertes quotidiennement, il est donc important de maintenir votre base de données de signatures à jour.
Vérifier la version de la base de données de signatures : chaque base de données de signatures a un numéro de version différent, la dernière base de données ayant le numéro le plus élevé. Vous pouvez utiliser l’interface de ligne de commande pour afficher le numéro de version de la base de données de signatures.
Mettre à jour le moteur du détecteur de protocoles : vous pouvez télécharger les mises à jour du moteur du détecteur de protocoles en même temps que la base de données de signatures. Le détecteur de protocole IDP contient des décodeurs de protocole de couche applicative. Le détecteur est couplé à la stratégie IDP et est mis à jour ensemble. Il est toujours nécessaire au moment de la mise à jour de la stratégie, même s’il n’y a pas de changement dans le détecteur.
Planifier les mises à jour de la base de données de signatures : vous pouvez configurer l’appareil compatible IDP pour qu’il mette automatiquement à jour la base de données de signatures après un intervalle défini.
Mise à jour de la base de données de signatures IDP Présentation
Juniper Networks met régulièrement à jour la base de données d’attaques prédéfinies et la met à disposition sur le site Web de Juniper Networks. Cette base de données inclut des groupes d’objets d’attaque que vous pouvez utiliser dans les stratégies IDP pour faire correspondre le trafic aux attaques connues. Bien que vous ne puissiez pas créer, modifier ou supprimer des objets d’attaque prédéfinis, vous pouvez utiliser l’interface de ligne de commande pour mettre à jour la liste des objets d’attaque que vous pouvez utiliser dans les stratégies IDP.
Pour mettre à jour la base de données de signatures, téléchargez un package de sécurité à partir du site Web de Juniper Networks ou via un serveur proxy Web explicite. Le package de sécurité se compose des composants IDP suivants :
Objets d’attaque
Groupes d’objets d’attaque
Objets de l’application
Mises à jour du moteur IDP Detector
Modèles de stratégie IDP. Les modèles de stratégie sont téléchargés indépendamment. Reportez-vous à la section Présentation de modèles de stratégie IDP prédéfinis.)
Par défaut, lorsque vous téléchargez le package de sécurité, vous téléchargez les composants suivants dans un dossier intermédiaire de votre appareil : la dernière version de la table complète des groupes d’objets d’attaque, de la table des objets d’application et les mises à jour du moteur de détection IDP. Étant donné que la table des objets d’attaque est généralement de grande taille, par défaut, le système ne télécharge que les mises à jour de la table des objets d’attaque. Cependant, vous pouvez télécharger le tableau complet des objets d’attaque à l’aide de l’option full-update de configuration.
Après avoir téléchargé le package de sécurité, vous devez l’installer pour mettre à jour la base de données de sécurité avec les mises à jour nouvellement téléchargées à partir du dossier de préproduction de votre appareil.
Après l’installation d’un package de sécurité, lorsque vous validez la configuration, la syntaxe de toutes les stratégies (pas seulement la politique active) est vérifiée. Cette vérification est identique à une vérification de validation. Si une attaque configurée dans l’une des stratégies existantes est supprimée de la nouvelle base de données de signatures que vous téléchargez, la vérification de validation échoue.
Lorsque vous mettez à jour la base de données de signatures IDP, les attaques configurées dans les stratégies ne sont pas mises à jour automatiquement. Par exemple, supposons que vous configuriez une stratégie pour inclure une attaque FTP:USER:ROOT disponible dans la base de données de signatures version 1200 de votre système. Ensuite, vous téléchargez la version 1201 de la base de données de signatures, qui n’inclut plus l’attaque FTP:USER:ROOT. Parce qu’une attaque configurée dans votre stratégie est manquante dans la base de données nouvellement téléchargée, la vérification de validation dans l’interface de ligne de commande échoue. Pour valider votre configuration, vous devez supprimer l’attaque (FTP:USER:ROOT) de la configuration de votre stratégie.
Les mises à jour des signatures IDP peuvent échouer si le chargement d’une nouvelle stratégie IDP échoue pour une raison quelconque. Lorsqu’un nouveau chargement de stratégie IDP échoue, la dernière stratégie IDP correcte connue est chargée. Une fois que le problème lié à la nouvelle charge de stratégie est résolu et que la nouvelle stratégie valide est active, les mises à jour des signatures fonctionnent correctement.
- Améliorations apportées au package de signature IDP
- Améliorations apportées au package de signatures côté serveur IDP
Améliorations apportées au package de signature IDP
Nous avons apporté des améliorations pour réduire les risques de panne et pour contrôler l’effet des problèmes d’intégrité lors des mises à jour des packages de sécurité.
IDP signale à AppID d’installer le package d’applications lors de l’installation du package de sécurité. Une fois le package AppID installé, le package de sécurité IDP est installé dans l’ordre suivant :
La base de données d’attaque est créée à l’aide des signatures téléchargées.
La stratégie configurée est mise à jour avec les informations de la base de données nouvellement installée.
La stratégie mise à jour est chargée sur le moteur de transfert de paquets.
Le trafic est inspecté à l’aide de la stratégie nouvellement chargée dans le moteur de transfert de paquets.
Une panne de service ne se produit pas lorsqu’un problème ou un core dump se produit aux étapes 1 à 3. Une interruption de service se produit si un core dump se produit lors de l’inspection du trafic.
De même, il n’est pas nécessaire de restaurer le package de sécurité si le problème se produit lors de la création de la base de données d’attaque ou de la mise à jour de la stratégie configurée. Toutefois, lorsqu’un problème survient lors du chargement de la stratégie mise à jour ou de l’inspection du trafic, le processus de restauration est déclenché. Un package de signatures échoue à la vérification d’intégrité s’il y a une déconnexion du moteur de transfert de paquets ou du processus de flux (flowd) en fonction de critères prédéfinis.
Grâce à ces améliorations, le package de signatures est automatiquement restauré lorsque l’installation du package de sécurité échoue. Cela peut se produire lorsqu’un package qui a échoué à la vérification d’intégrité est détecté ou en raison d’une mémoire insuffisante.
Si un package de signatures n’est pas installé alors que la mémoire est faible, il n’est pas marqué comme ayant échoué à la vérification d’intégrité et la restauration est déclenchée uniquement pour IDP.
Si la restauration automatique est déclenchée après l’échec de l’installation d’un nouveau pack de signatures, la version installée et la version de restauration manuelle restent inchangées.
Voici les scénarios de restauration en cas d’échec de l’installation du package de sécurité :
| Installation du package de sécurité |
Description |
|---|---|
| Installation d’un package de sécurité sur un équipement d’usine |
La restauration de la base de données n’existe pas. Si l’installation échoue ou si un package dont la vérification de l’intégrité a échoué est détecté, il n’y a pas de restauration. Si l’installation réussit, une nouvelle base de données de restauration est créée. |
| Installation d’un package de sécurité sur un appareil dont l’état n’est pas conforme à l’état d’usine |
Si l’installation échoue dans le moteur de routage, aucune restauration n’est effectuée. Le moteur de transfert de paquets inspecte le trafic à l’aide de la stratégie déjà chargée. S’il s’avère que le package de signatures a échoué à la vérification d’intégrité après le chargement dans le moteur de transfert de paquets, le processus de restauration est déclenché et le moteur de transfert de paquets dispose du package de sécurité précédemment installé. |
Un nouveau message d’état s’affiche lorsque la restauration automatique est déclenchée. Vous pouvez vérifier le message à l’aide de la commande suivante :
root@host> request security idp security-package install status
Security-package validation failed, triggered auto rollback of the security-package.
L’IDP est annulé s’il s’avère qu’un package de signatures a échoué à la vérification d’intégrité. L’IDP envoie un signal à AppID pour qu’il restaure, mais l’IDP n’attend pas l’état de restauration de l’AppID.
Vous pouvez vérifier l’état de la restauration à l’aide de la commande suivante :
root@host> request security idp security-package rollback status
L’état de la restauration s’affiche comme ayant échoué ou s’étant terminé avec succès. La version restaurée s’affiche.
Vous pouvez utiliser la commande suivante pour vérifier les détails du pack de signatures qui a échoué lors de la validation du plan de données.
root@host> show security idp security-package-version detail
Attack database version:3550(Thu Dec 1 14:20:50 2022 UTC) Detector version :12.6.180220128 Policy template version :3598 Rollback Attack database version :3550(Thu Dec 1 14:20:50 2022 UTC) Rollback Detector version: 12.6.180220128 Last known security-package-version which failed in data plane validation: 3650(Thu Nov 9 14:08:04 2023 UTC) Last known security-package- detector-version which failed in data plane validation : 12.6.180230313
Restauration dans un pare-feu SRX Series multi-SPC/PIC
Actuellement, lorsqu’un package de sécurité est installé sur un périphérique multi-SPC ou multi-PIC tel qu’un pare-feu SRX5000 Series, le package de sécurité est installé et chargé simultanément sur tous les PIC. Si le plan de données tombe en panne sur un PIC, le processus de châssis (chassisd) s’assure que tous les autres PIC sont hors ligne. L’installation du pack de signatures sur un PIC à la fois ne fonctionne pas. De plus, lorsque les PIC sont remis en ligne, ils sont confrontés aux mêmes problèmes de trafic et de plan de données, ce qui peut entraîner des pannes répétées.
Lorsqu’un core dump se produit après l’installation d’un pack de signatures, le package de sécurité est restauré une fois que le PIC est remis en ligne, limitant ainsi les dommages potentiels.
Un nouveau message d’état est ajouté dans la sortie de la commande status après l’installation du package de sécurité et le chargement de la stratégie dans le moteur de transfert de paquets, tout en étant validé pour la vérification de l’intégrité du package de signature.
root@host> request security idp security-package install status
Security-package validation is in progress…
Installation du package de sécurité dans un environnement de haute disponibilité
Dans un scénario de haute disponibilité, l’installation du package de sécurité est déclenchée simultanément sur les nœuds principal et secondaire. Lorsque le processus srxpfe échoue en raison d’un problème dans le package de sécurité, un basculement se produit et le nœud secondaire prend le relais.
Pour éviter que des basculements ne se produisent en boucle alors que le même package de sécurité est installé sur le nœud secondaire, la validation du contrôle d’intégrité est effectuée à l’étape d’installation du nœud principal. Le package de sécurité n’est installé sur le noeud secondaire qu’une fois qu’il a passé le contrôle d’intégrité. L’installation sur le nœud secondaire n’est pas autorisée tant que vous n’avez pas téléchargé une autre version du package de signatures.
root@host> request security idp security-package install status
node0: -------------------------------------------------------------------------- In progress:performing DB update for an xml (groups.xml) node1: -------------------------------------------------------------------------- Waiting for primary node to finish installation and validation of the security-package.
Lors de l’installation du package de signature, après l’exécution de la commande install et lorsque la validation du contrôle d’intégrité est terminée, en cas de basculement ou de basculement, une restauration automatique est déclenchée sur l’ancien nœud principal et l’installation est abandonnée sur l’ancien nœud secondaire.
root@host> request security idp security-package install status
node0: -------------------------------------------------------------------------- Done;Security-package installation aborted due to node failover node1: -------------------------------------------------------------------------- Done;Security-package installation failed due to node failover;Successfully Rolled back to 3656
Si l’installation échoue sur le noeud principal, la restauration se produit sur le noeud principal et l’installation est interrompue sur le noeud secondaire.
root@host> request security idp security-package install status
node0: -------------------------------------------------------------------------- Done;Security-package installation failed;Successfully Rolled back to 3550 node1: -------------------------------------------------------------------------- Done;Security-package installation aborted due to failure in the primary node installation
Les modifications suivantes sont observées lorsque le package de sécurité est installé sur un appareil à haute disponibilité après les améliorations :
| Installation du package de sécurité |
Description |
|---|---|
| Installation du package de sécurité sur les deux nœuds (par défaut) |
L’installation du package de sécurité commence sur le nœud principal. L’installation du pack de signatures sur le noeud secondaire ne démarre qu’une fois que la vérification de validation de l’intégrité du package de signatures a été passée sur le noeud primaire. La restauration du package de signatures est déclenchée sur le nœud principal si le package échoue à la vérification d’intégrité. Le package n’est pas installé sur le noeud secondaire. Si l’installation du package de sécurité échoue sur le noeud secondaire, la restauration est déclenchée uniquement sur le noeud secondaire et une alarme mineure est déclenchée car les versions du package de sécurité ne correspondent pas. |
| Installation du package de sécurité sur le nœud principal uniquement |
En cas d’échec de l’installation, la restauration n’a lieu que sur le nœud principal. |
La vérification de validation de l’intégrité du package de signatures n’est pas effectuée sur le nœud secondaire. Un package de signatures qui échoue à la vérification d’intégrité au niveau du nœud principal est également marqué comme ayant échoué au niveau du nœud secondaire. Une alarme mineure est déclenchée lorsque différentes versions de package de signature sont installées sur les nœuds principal et secondaire.
Interdire le téléchargement ou l’installation d’un package dont la vérification d’intégrité a échoué
Vous ne pourrez pas télécharger ou installer un package de signatures qui a échoué à la vérification de l’intégrité sur une configuration autonome ou à haute disponibilité. Un avertissement s’affiche. Le package de signatures qui a échoué à la vérification d’intégrité existe même après le redémarrage.
Si un package de signatures échoue à la vérification d’intégrité d’AppID, il est également considéré comme ayant échoué pour IDP.
Vous pouvez utiliser la commande suivante pour vérifier l’état :
root@host> request security idp security-package install status
Done;AI installation failed (failed in data plane validation)
Un package de signatures marqué comme ayant échoué à la vérification d’intégrité au niveau du nœud principal est également marqué comme tel au niveau du nœud secondaire. Lorsque vous essayez de télécharger un package de sécurité qui a échoué à la vérification d’intégrité et que vous vérifiez son état, le message d’état suivant s’affiche :
root@host> request security idp security-package download status
Requested security-package 3501 failed data plane validation. Please download another version.
Lorsque vous essayez d’installer un package de sécurité qui a échoué à la vérification d’intégrité et que vous vérifiez son état, le message suivant s’affiche :
Requested security-package 3501 failed data plane validation. Please install another version.
Lorsque vous tentez de télécharger le package de sécurité qui a échoué à la vérification d’intégrité hors connexion, le même message s’affiche.
Restauration d’un package de signature lors du chargement de la dernière politique après l’installation
Les stratégies IDP doivent être compilées lorsque le processus de stratégie IDP redémarre, lorsqu’un changement de configuration nécessite une compilation ou lorsqu’un pack de signatures est installé. Une fois la stratégie compilée, le moteur de routage tente de la charger après avoir effectué une sauvegarde de la stratégie actuellement chargée. Cette stratégie est nommée last-good-policy. Si une stratégie qui vient d’être compilée ne parvient pas à se charger pour une raison telle que des limitations de mémoire, le moteur de routage tente de charger la dernière stratégie correcte.
Ainsi, lorsqu’une stratégie est compilée après l’installation d’un pack de signatures et que le chargement de la stratégie échoue, le moteur de routage tente de charger la dernière politique correcte. Toutefois, une fois la dernière stratégie correcte chargée, le moteur de routage et le moteur de transfert de paquets ont des versions de package de signatures différentes. Le package de signatures dans le moteur de routage est restauré pour maintenir la cohérence.
Améliorations apportées au package de signatures côté serveur IDP
Auparavant, lorsque vous installiez un package de signatures IDP sur un pare-feu SRX Series et que le package de signatures ne réussissait pas les contrôles d’intégrité, l’événement était noté sur le périphérique, mais il n’était pas signalé au serveur.
Le système de détection et de prévention d’intrusion signale désormais l’état de l’installation au serveur. La décision de marquer globalement le sigpack comme ayant échoué à la vérification d’intégrité est basée sur les informations envoyées par plusieurs périphériques au serveur de signature. Si le sigpack est marqué comme ne passant pas les contrôles d’intégrité globaux, il n’est pas disponible pour les futurs téléchargements.
Le package de signatures se compose des signatures IDP, du détecteur IDP et du protobundle AppID. Il existe maintenant deux types de mises à jour de packages de signatures côté serveur :
| type de mise à jour du package Signature | |
|---|---|
| Mineur |
Sigpack régulier Mises à jour des signatures IDP les mercredis et vendredis, sans changement dans IDP Detector et AppID Protobundle
Sigpacks d’urgence
Mise à jour publiée en tant que correctif sur un prototype AppID publié |
| Majeur |
Version d’IDP Detector ou AppID Protobundle
|
Les versions d’IDP Detector sont toujours classées comme majeures pour IDP, et un package de sécurité est majeur pour IDP s’il y a une modification de Detector ou une modification de Protobundle. Un package de sécurité est majeur pour AppID uniquement s’il y a une modification dans le Protobundle.
Le package de signatures qui suit immédiatement la publication d’un IDP ou d’un AppID est considéré comme majeur. Si le dernier sigpack est identifié comme ne passant pas les contrôles d’intégrité, le sigpack précédent est également marqué comme échouant.
Envoyer l’état de l’installation au serveur SigpackLorsque vous installez sigpack sur le pare-feu SRX Series, l’état d’installation est également envoyé au serveur sigpack. L’état de l’installation contient des informations sur les vérifications des problèmes d’intégrité.
L’état d’installation d’une configuration haute disponibilité est envoyé uniquement pour le nœud principal.
Lorsqu’un package de sécurité échoue en raison de problèmes de contrôle d’intégrité, l’état de l’installation est envoyé au serveur après une restauration automatique.
Identification des échecs de vérification d’intégritéL’équipement valide l’échec du contrôle d’intégrité uniquement pour les principaux types de packages de sécurité. L’appareil envoie l’état de l’installation via une requête HTTPS au serveur sigpack après l’installation du type principal sigpack.
Un sigpack est déterminé comme échouant au contrôle d’intégrité sur la base de certains calculs. Lorsqu’un sigpack a échoué aux contrôles d’intégrité, le sigpack stable précédent est marqué comme le dernier sigpack.
Si un sigpack passe avec succès les contrôles d’intégrité et que six heures se sont écoulées depuis sa publication, le sigpack est envoyé à Security Director et peut être téléchargé hors ligne.
Une fois que le sigpack est publié via les différents modes, s’il est identifié comme ne passant pas les contrôles d’intégrité, nous empêchons le téléchargement d’un tel sigpack uniquement à partir de l’interface de ligne de commande.
Vous pouvez utiliser la commande suivante pour télécharger uniquement les mises à jour mineures pour les téléchargements automatiques.
set services application-identification download automatic minor-only
Pour les mises à jour manuelles de sigpack, vous pouvez utiliser ce qui suit pour demander une mise à jour mineure uniquement si nécessaire.
request security idp security-package download minor-only
La sortie de la commande d’état de téléchargement indique si la version téléchargée est majeure ou mineure après le téléchargement réussi d’un sigpack.
Les informations sur le type de sigpack sont disponibles dans le fichier manifest.xml. L’appareil récupère ces informations et les affiche dans la sortie. Voici un exemple de fichier manifeste XML :
<manifest> <version>3655</version> <ExportDate>Tue Nov 28 15:29:28 2023 UTC</ExportDate> <SigpackType>Major</SigpackType> <entry> <id>application_groups.xml.gz</id> <type>systable</type> <version>3655</version> <location>application_groups.xml</location> <checksum>4483d9d4c63fe2fb99725e8218494b44</checksum> <url>https://signatures.juniper.net/xmlupdate/282/ApplicationGroups/3655/application_groups.xml.gz</url> </entry> </manifest>
Voici des exemples de résultats :
user@host> request security idp security-package download status
Done;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:3653(Major, Tue Nov 21 14:09:20 2023 UTC, Detector=12.6.180230313)
user@host> request security idp security-package download status
Done;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi. Version info:3654(Minor, Tue Nov 21 14:09:20 2023 UTC, Detector=12.6.180230313)
Lorsqu’un sigpack est installé avec succès, la sortie de la commande d’état d’installation indique si cette version installée est mineure ou majeure.
Done;Attack DB update : successful - [UpdateNumber=3653, Major, ExportDate=Tue Nov 21 14:09:20 2023 UTC,Detector=12.6.180230313] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : successful
Done;Attack DB update : successful - [UpdateNumber=3654, Minor, ExportDate=Tue Nov 21 14:09:20 2023 UTC,Detector=12.6.180230313] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : successful
Lorsqu’un sigpack est installé avec succès, la sortie de la commande d’état d’installation indique si la version installée est mineure ou majeure. Ceci est également indiqué pour les sorties security-package-version, recent-security-package-versions et check-server.
Si un sigpack majeur est identifié comme ne passant pas les contrôles d’intégrité, il n’est pas affiché dans la sortie de la security-package-version commande.
Par exemple, le sigpack 3653 majeur n’a pas passé les contrôles d’intégrité et il n’est pas affiché dans la sortie.
user@host>show security idp security-package-versions
Attack database version: 3652 (Minor) Attack database version: 3651 (Minor) Attack database version: 3650 (Minor) Attack database version: 3649 (Minor) Attack database version: 3648 (Minor) Attack database version: 3647 (Minor) Attack database version: 3646 (Minor) Attack database version: 3645 (Minor)
Voir aussi
Téléchargement du package de signatures IDP de Junos OS via un serveur proxy explicite Présentation
Vous pouvez télécharger le package de sécurité IDP via un serveur proxy explicite. Pour télécharger le package de sécurité IDP qui héberge sur un serveur externe, vous devez configurer un profil proxy et utiliser les détails de l’hôte proxy et du port configurés dans le profil proxy. Cette fonctionnalité vous permet d’utiliser un serveur proxy Web déployé sur votre appareil pour l’accès et l’authentification des sessions HTTP(S) sortantes.
Vous devez configurer l’option de profil proxy du téléchargement du package de sécurité pour vous connecter au serveur externe via un serveur proxy spécifié. Le profil proxy est configuré sous [edit services proxy] une hiérarchie.
Vous pouvez configurer plusieurs profils proxy sous [edit services proxy] hiérarchie. IDP ne peut utiliser qu’un seul profil proxy. Il n’est pas possible d’utiliser simultanément plusieurs profils proxy dans le cadre d’IDP. Lorsqu’un profil proxy est configuré sous [security idp security-package] une hiérarchie, le processus idpd se connecte à l’hôte proxy au lieu du serveur de téléchargement du pack de signatures. L’hôte proxy communique ensuite avec le serveur de téléchargement et fournit la réponse au processus idpd. Le processus idpd est notifié chaque fois qu’une modification est apportée à la [edit services proxy] hiérarchie.
Vous pouvez désactiver le serveur proxy pour le téléchargement du package de signature IDP lorsqu’il n’est pas nécessaire.
Pour désactiver le serveur proxy pour le téléchargement de la signature IDP, utilisez la commande delete security idp security-package proxy-profile proxy-profile
La prise en charge du proxy Web IDP dépend du profil de proxy configuré au niveau du système. Pour utiliser le serveur proxy Web pour le téléchargement, vous devez configurer un profil proxy avec les détails de l’hôte et du port du serveur proxy et appliquer le profil proxy dans la [security idp security-package] hiérarchie.
Exemple : Mise à jour automatique de la base de données de signatures
Cet exemple montre comment télécharger automatiquement les mises à jour de la base de données de signatures.
Exigences
Avant de commencer, configurez les interfaces réseau.
Aperçu
Juniper Networks met régulièrement à jour la base de données d’attaques prédéfinies et la met à disposition sous forme de package de sécurité sur le site Web de Juniper Networks. Cette base de données comprend des objets et des groupes d’objets d’attaque que vous pouvez utiliser dans les stratégies IDP pour faire correspondre le trafic aux attaques connues. Vous pouvez configurer votre appareil pour qu’il télécharge automatiquement les mises à jour de la base de données de signatures à des intervalles spécifiés.
Dans cet exemple, vous téléchargez le package de sécurité avec le tableau complet des objets d’attaque et des groupes d’objets d’attaque toutes les 48 heures, à partir du 10 décembre à 23 h 59. Vous activez également le téléchargement et la mise à jour automatiques du package de sécurité.
Configuration
Procédure
Procédure étape par étape
Pour télécharger et mettre à jour les objets d’attaque prédéfinis :
Spécifiez l’URL du package de sécurité.
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
Par défaut, l’URL est considérée comme https://signatures.juniper.net/cgi-bin/index.cgi
Spécifiez la valeur de l’heure et de l’intervalle pour le téléchargement.
[edit] user@host# set security idp security-package automatic interval 48 start-time 2009-12-10.23:59:00
Activez le téléchargement et la mise à jour automatiques du package de sécurité.
[edit] user@host# set security idp security-package automatic enable
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez la tâche suivante :
Mise à jour manuelle de la base de données de signatures IDP Vue d’ensemble
Juniper Networks met régulièrement à jour la base de données d’attaques prédéfinies et la met à disposition sur le site Web de Juniper Networks. Cette base de données inclut des groupes d’objets d’attaque que vous pouvez utiliser dans les stratégies de détection et de prévention d’intrusion (IDP) pour faire correspondre le trafic aux attaques connues. Bien que vous ne puissiez pas créer, modifier ou supprimer des objets d’attaque prédéfinis, vous pouvez utiliser l’interface de ligne de commande pour mettre à jour la liste des objets d’attaque que vous pouvez utiliser dans les stratégies IDP. Après avoir téléchargé le package de sécurité, vous devez l’installer pour mettre à jour la base de données de sécurité avec les mises à jour nouvellement téléchargées à partir du dossier de préproduction de votre appareil.
Exemple : Mise à jour manuelle de la base de données de signatures IDP
Cet exemple montre comment mettre à jour manuellement la base de données de signatures IDP.
Exigences
Avant de commencer, configurez les interfaces réseau.
Aperçu
Juniper Networks met régulièrement à jour la base de données d’attaques prédéfinies et la met à disposition sous forme de package de sécurité sur le site Web de Juniper Networks. Cette base de données comprend des objets d’attaque et des groupes d’objets d’attaque que vous pouvez utiliser dans les stratégies IDP pour faire correspondre le trafic aux attaques connues.
Dans cet exemple, vous téléchargez le package de sécurité avec le tableau complet des objets d’attaque et des groupes d’objets d’attaque. Une fois l’installation terminée, les objets d’attaque et les groupes d’objets d’attaque sont disponibles dans l’interface de ligne de commande sous les instructions de configuration predefined-attack-groups et predefined-attacks au niveau de la hiérarchie [edit security idp idp-policy]. Vous créez une stratégie et spécifiez la nouvelle stratégie en tant que stratégie active. De plus, vous téléchargez uniquement les mises à jour que Juniper Networks a récemment mises en ligne, puis mettez à jour la base de données des attaques, la stratégie en cours d’exécution et le détecteur avec ces nouvelles mises à jour.
Configuration
Procédure
Configuration rapide de la CLI
La configuration rapide de l’interface de ligne de commande n’est pas disponible pour cet exemple, car une intervention manuelle est nécessaire lors de la configuration.
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour télécharger et mettre à jour manuellement la base de données de signatures :
Spécifiez l’URL du package de sécurité.
[edit] user@host#set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
Note:Par défaut, il prendra l’URL comme https://signatures.juniper.net/cgi-bin/index.cgi.
Validez la configuration.
[edit] user@host# commit
Passez en mode opérationnel.
[edit] user@host# exit
Téléchargez le package de sécurité.
user@host>request security idp security-package download full-update
Vous pouvez télécharger un package de signature hors ligne sur votre appareil. Vous pouvez télécharger le package de signature et le copier à n’importe quel emplacement commun de l’appareil, puis télécharger le package hors connexion à l’aide de la
request security idp security-package offline-downloadcommande.L’installation du paquet de signature reste la même et sera toujours une mise à jour complète.
Vérifiez l’état de téléchargement du package de sécurité.
user@host>request security idp security-package download status
Mettez à jour la base de données d’attaque à l’aide de la commande install.
user@host>request security idp security-package install
Vérifiez l’état de mise à jour de la base de données d’attaque à l’aide de la commande suivante (la sortie de la commande affiche des informations sur les versions téléchargées et installées des versions de la base de données d’attaque) :
user@host>request security idp security-package install status
Passez en mode configuration.
user@host>configure
Créez une stratégie IDP.
[edit ] user@host#edit security idp idp-policy policy1
Associez des objets d’attaque ou des groupes d’objets d’attaque à la stratégie.
[edit security idp idp-policy policy1] user@host#set rulebase-ips rule rule1 match attacks predefined-attack-groups “Response_Critical”
Définissez l’action.
[edit security idp idp-policy policy1] user@host#set rulebase-ips rule rule1 then action no-action
Activez la stratégie.
[edit] user@host#set security idp active-policy policy1
Validez la configuration.
[edit] user@host# commit
Au bout d’une semaine, téléchargez uniquement les mises à jour récemment mises en ligne par Juniper Networks.
user@host>request security idp security-package download
Vérifiez l’état de téléchargement du package de sécurité.
user@host>request security idp security-package download status
Mettez à jour la base de données des attaques, la stratégie active et le détecteur avec les nouvelles modifications.
user@host>request security idp security-package install
Vérifiez la base de données des attaques, la stratégie active et le détecteur à l’aide de l’état d’installation.
user@host>request security idp security-package install status
Note:Il est possible qu’une attaque soit supprimée de la nouvelle version d’une base de données d’attaque. Si cette attaque est utilisée dans une stratégie existante sur votre appareil, l’installation de la nouvelle base de données échouera. Un message d’état d’installation identifie l’attaque qui n’est plus valide. Pour mettre à jour la base de données avec succès, supprimez toutes les références à l’attaque supprimée de vos stratégies et groupes existants, puis réexécutez la commande d’installation.
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security idp commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security idp
idp-policy policy1 {
rulebase-ips {
rule rule1 {
match {
attacks {
predefined-attack-groups Response_Critical;
}
}
then {
action {
no-action;
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez la tâche suivante :
Exemple : téléchargement et installation des packages de sécurité IDP en mode cluster de châssis
Cet exemple montre comment télécharger et installer la base de données de signatures IDP sur un appareil fonctionnant en mode cluster de châssis.
Exigences
Avant de commencer, définissez l’ID de nœud du cluster de châssis et l’ID de cluster. Reportez-vous à la section Exemple : Définition de l’ID de nœud et de l’ID de cluster pour les équipements de sécurité d’un cluster de châssis .
Aperçu
Le package de sécurité pour la détection et la prévention des intrusions (IDP) contient une base de données d’objets d’attaque IDP prédéfinis et de groupes d’objets d’attaque IDP que vous pouvez utiliser dans les stratégies IDP pour faire correspondre le trafic contre des attaques connues et inconnues. Juniper Networks met régulièrement à jour les objets et groupes d’attaques prédéfinis en fonction des modèles d’attaque nouvellement découverts.
Pour mettre à jour la base de données de signatures, vous devez télécharger un package de sécurité à partir du site Web de Juniper Networks. Après avoir téléchargé le package de sécurité, vous devez l’installer pour mettre à jour la base de données de sécurité avec les mises à jour nouvellement téléchargées à partir du dossier de préproduction de votre appareil.
Sur tous les pare-feu SRX Series de filiale, si l’utilisation de la mémoire de votre périphérique est élevée sur le plan de contrôle, le chargement d’une stratégie IDP volumineuse peut entraîner un manque de mémoire de l’équipement. Cela peut déclencher un redémarrage du système lors de la mise à jour du package de sécurité IDP.
Pour plus d’informations, reportez-vous à la section Présentation de la base de données de signatures IDP.
Lorsque vous téléchargez le package de sécurité IDP sur un périphérique fonctionnant en mode cluster de châssis, le package de sécurité est téléchargé sur le nœud principal, puis synchronisé avec le nœud secondaire. Cette synchronisation permet de conserver la même version du package de sécurité sur le nœud principal et le nœud secondaire.
Téléchargement et installation de la base de données de signatures IDP
Procédure
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Spécifiez l’URL du package de sécurité.
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
Passez en mode opérationnel.
[edit] user@host# exit
Téléchargez le package de sécurité IDP sur le nœud principal (téléchargements dans le var/db/idpd/sec-download dossier.
{primary:node0}[edit] user@host> request security idp security-package downloadLe message suivant s’affiche.
node0: -------------------------------------------------------------------------- Will be processed in async mode. Check the status using the status checking CLI
Vérifiez l’état de téléchargement du package de sécurité.
{primary:node0}[edit] user@host> request security idp security-package download statusUne fois le téléchargement réussi, le message suivant s’affiche.
node0: -------------------------------------------------------------------------- Done;Successfully downloaded from (https://signatures.juniper.net/cgi-bin/index.cgi) and synchronized to backup. Version info:1871(Mon Mar 7 09:05:30 2011, Detector=11.4.140110223)
Mettez à jour la base de données d’attaque à l’aide de la
installcommande.user@host> request security idp security-package install
Vérifiez l’état de mise à jour de la base de données d’attaque. La sortie de la commande affiche des informations sur les versions téléchargées et installées de la base de données d’attaque.
{primary:node0}[edit] user@host> request security idp security-package install statusnode0: -------------------------------------------------------------------------- Done;Attack DB update : successful - [UpdateNumber=2011,ExportDate=Mon Oct 17 15:13:06 2011,Detector=11.6.140110920] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found. node1: -------------------------------------------------------------------------- Done;Attack DB update : successful - [UpdateNumber=2011,ExportDate=Mon Oct 17 15:13:06 2011,Detector=11.6.140110920] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found.Vous devez télécharger le package de signatures IDP dans le nœud principal. De cette façon, le package de sécurité est synchronisé sur le nœud secondaire. Les tentatives de téléchargement du package de signatures sur le nœud secondaire échoueront.
Si vous avez configuré un téléchargement planifié pour les packages de sécurité, les fichiers du package de signatures sont automatiquement synchronisés du noeud principal vers le noeud de secours.
Téléchargement du package de signatures IDP de Junos OS via un serveur proxy explicite
Cet exemple montre comment créer un profil proxy et l’utiliser pour télécharger le package de signatures IDP via un serveur proxy explicite.
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la edit hiérarchie, puis passez commit en mode de configuration.
set services proxy profile test_idp_proxy1 protocol http set services proxy profile test_idp_proxy1 protocol http host 10.209.97.254 set services proxy profile test_idp_proxy1 protocol http port 3128 set security idp security-package proxy-profile test_idp_proxy1 request security idp security-package download full-update
Configuration
Procédure étape par étape
Le profil proxy du serveur proxy est créé, puis ce profil est référencé par le processus idpd pour le téléchargement du package de signatures IDP via le serveur proxy.
-
Spécifiez l’adresse IP de l’hôte proxy.
[edit]
user@host#set services proxy profile test_idp_proxy1 protocol http host 10.209.97.254 Spécifiez le numéro de port utilisé par le serveur proxy.
[edit]
user@host#set services proxy profile test_idp_proxy1 protocol http port 3128Spécifiez le profil de proxy qui doit être référencé pour le téléchargement du package de sécurité.
[edit] user@host# set security idp security-package proxy-profile test_idp_proxy1
Validez la configuration.
[edit] user@host# commit
Passez en mode opérationnel.
[edit] user@host# exit
Téléchargez le package de sécurité IDP.
user@host> request security idp security-package download full-update
Il est toujours possible de télécharger et d’installer un package de signatures IDP hors ligne depuis le site Web de Juniper. Pour télécharger et installer le package de signatures IDP hors connexion, exécutez la
request security idp security-package offline-downloadcommande CLI. Le processus d’installation reste le même pour les deux commandes de téléchargement.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Cet exemple de configuration est testé sur le pare-feu SRX Series avec Junos OS version 18.3R1 ou ultérieure.
Aperçu
Juniper Networks met régulièrement à jour la base de données d’attaques prédéfinies et la met à disposition sous forme de package de sécurité sur le site Web de Juniper Networks. Cette base de données comprend des objets d’attaque et des groupes d’objets d’attaque que vous pouvez utiliser dans les stratégies IDP pour faire correspondre le trafic aux attaques connues.
Vous pouvez télécharger le package de signature IDP à l’aide d’un serveur proxy. La configuration du profil proxy n’est disponible que pour les connexions HTTP.
Dans cet exemple, le pare-feu SRX Series télécharge et installe le package de sécurité IDP, avec la table complète des objets d’attaque et des groupes d’objets d’attaque disponible sur un serveur externe, à l’aide du profil de proxy configuré.
Une fois l’installation terminée, tous les objets et groupes d’attaque IDP téléchargés et installés peuvent être configurés dans une ou plusieurs stratégies IDP. Ces objets d’attaque et l’objet d’attaque sont ensuite utilisés dans les règles de sécurité sous la set security policies from-zone zone-name to-zone zone-name policy policy-name then permit application-services idp-policy idp-policy-name hiérarchie. Vous créez une stratégie et spécifiez la nouvelle stratégie en tant que stratégie active. Vous pouvez télécharger uniquement les mises à jour récemment mises en ligne par Juniper Networks, puis mettre à jour la base de données des attaques, la stratégie en cours d’exécution et le détecteur avec ces mises à jour.
Pour activer le téléchargement du package de signatures IDP par le biais d’un serveur proxy explicite :
Configurez un profil avec les détails de l’hôte et du port du serveur proxy à l’aide de la
set services proxy profilecommande.Utilisez la
set security idp security-package proxy-profile profile-namecommande pour vous connecter au serveur proxy et télécharger le package de signature IDP.
Lorsque vous téléchargez le package de signatures IDP, la demande est envoyée via l’hôte proxy au serveur réel qui héberge le package de signatures. L’hôte proxy renvoie ensuite la réponse de l’hôte réel. Le package de signature IDP est ensuite reçu du site Web de sécurité Juniper Networks https://signatures.juniper.net/cgi-bin/index.cgi.
Dans cet exemple, vous créez un profil proxy et vous le référez lorsque vous téléchargez le package de signature IDP à partir de l’hôte externe. Le Tableau 3 fournit le détail des paramètres utilisés dans cet exemple.
Paramètre |
Nom |
|---|---|
Nom du profil |
test_idp_proxy1 |
Adresse IP du serveur proxy |
10.209.97.254 |
Numéro de port du serveur proxy |
3128 |
Vérification
- Vérification du téléchargement de la signature IDP via un serveur proxy
- Vérification de l’état de téléchargement de la signature IDP
Vérification du téléchargement de la signature IDP via un serveur proxy
But
Affichez les détails du téléchargement du package de signature IDP via un serveur proxy.
Action
À partir du mode opérationnel, entrez la commande pour afficher les détails du proxy spécifique à IDP show security idp security-package proxy-profile .
Proxy details : Security package proxy profile name :test_idp_proxy1 Protocol used :HTTP Ip address of proxy server :10.209.97.254 Port of proxy server :3128
Signification
Dans la sortie, vous pouvez trouver les détails du profil de proxy spécifique à l’IDP dans Proxy Profile et Proxy Address fields.
Vérification de l’état de téléchargement de la signature IDP
But
Vérifiez l’état de téléchargement du package de signature IDP.
Action
Vérifiez l’état de téléchargement du package de sécurité.
À partir du mode opérationnel, entrez la request security idp security-package download status commande.
user@host> request security idp security-package download statusDone;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:3083(Tue Jul 17 13:23:36 2018 UTC, Detector=12.6.130180509)
Signification
La sortie affiche l’état de téléchargement du package de signature IDP.
Présentation de la version de la base de données de signatures IDP
De nouveaux objets d’attaque sont fréquemment ajoutés au serveur de base de données de signatures. En téléchargeant ces mises à jour et en les installant régulièrement sur vos équipements gérés, vous vous assurez que votre réseau est efficacement protégé contre les menaces les plus récentes. Au fur et à mesure que de nouveaux objets d’attaque sont ajoutés au serveur de base de données de signatures, le numéro de version de la base de données est mis à jour avec le dernier numéro de version de base de données. Chaque base de données de signatures a un numéro de version différent, la base de données la plus récente ayant le numéro le plus élevé.
Lors de la mise à jour de la base de données de signatures, le client de mise à jour de la base de données de signatures se connecte au site Web de Juniper Networks et obtient la mise à jour à l’aide d’une connexion HTTPS. Cette mise à jour (différence entre la base de données de signatures existante et la base de données de signatures la plus récente) est calculée en fonction du numéro de version attribué à chaque base de données de signatures. Une fois que vous avez téléchargé les mises à jour, les informations mises à jour sont fusionnées avec la base de données de signatures existante et le numéro de version est défini sur celui de la dernière base de données de signatures.
Voir aussi
Vérification de la version de la base de données de signatures IDP
But
Affichez la version de la base de données de signatures.
Action
Dans le mode de fonctionnement de l’interface de ligne de commande, saisissez show security idp security-package-version.
Sortie de l’échantillon
nom_commande
user@host> show security idp security-package-version Attack database version:31(Wed Apr 16 15:53:46 2008) Detector version :9.1.140080400 Policy template version :N/A
Signification
La sortie affiche les numéros de version de la base de données de signatures, du détecteur de protocole et du modèle de stratégie sur l’appareil compatible IDP. Vérifiez les informations suivantes :
Attack database version—Le 16 avril 2008, la version de la base de données de signatures active sur l’appareil est31.Detector version: affiche le numéro de version du détecteur de protocole IDP en cours d’exécution sur l’équipement.Policy template version: affiche la version du modèle de stratégie qui est installée dans le/var/db/scripts/commitrépertoire lorsque vous exécutez l’instructionrequest security idp security-package install policy-templatesde configuration dans l’interface de ligne de commande.
Pour obtenir une description complète de la sortie, consultez la description show security idp security-package-version .
Voir aussi
Comprendre les signatures Snort IPS
L’IDP de Juniper Networks prend en charge les signatures Snort IPS. Vous pouvez convertir les règles Snort IPS en signatures d’attaques personnalisées Juniper IDP à l’aide de l’outil d’intégration Juniper de Snort (JIST). Ces règles Snort IPS permettent de détecter les attaques malveillantes.
L’IDP sécurise votre réseau à l’aide de signatures qui permettent de détecter les attaques. Snort est un système de prévention d’intrusion (IPS) open-source.
Le système IDP prend en charge les signatures Snort IPS. Vous pouvez convertir les règles Snort IPS en signatures d’attaques personnalisées Juniper IDP à l’aide de l’outil d’intégration Juniper de Snort (JIST). Ces règles Snort IPS permettent de détecter les attaques malveillantes.
IPS de reniflement
- JIST est inclus dans Junos OS par défaut. L’outil prend en charge les règles Snort version 2 et version 3.
- JIST convertit les règles Snort avec snort-ids en signatures d’attaque personnalisées équivalentes sur Junos OS avec les snort-ids respectifs comme noms d’attaque personnalisés.
- Lorsque vous exécutez la
requestcommande avec les règles Snort IPS, JIST génèresetdes commandes équivalentes aux règles Snort IPS. Utilisez larequest security idp jist-conversioncommande pour générer lessetcommandes en tant que sortie CLI. Pour charger lessetcommandes, utilisez l’instructionload set terminalou copiez-collez les commandes en mode configuration, puis validez. Vous pouvez ensuite configurer la stratégie IDP existante avec les signatures d’attaque personnalisées converties. - Tous les fichiers de règles Snort IPS qui n’ont pas été convertis sont écrits dans /tmp/jist-failed.rules. Les fichiers journaux d’erreurs générés lors de la conversion sont écrits dans /tmp/jist-error.log.
- Pour afficher la version de jist-package, utilisez la
show security idp jist-package-versioncommande.
Avantages des signatures Snort IPS
- Aide à détecter les attaques malveillantes.